Защита локальной сети при подключении к Internet
Информация предоставлена "Р-Альфа"
Система Gauntlet является Межсетевым Экраном (далее по тексту МЭ),
разработанным фирмой TIS. Это продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.
Gauntlet представляет собой наиболее эффективный с точки
зрения защиты вариант МЭ - фильтр на уровне приложений, при этом
обеспечивает максимальную прозрачность при использовании, возможность
создания VPN и простое управление всем этим. Этот МЭ позволяет
пользоваться только теми протоколами, которые описал оператор и
только в случае их безопасного использования. Безопасность
обеспечивается при работе через МЭ в обоих направлениях в соответствии
с политикой безопасности, определенной для данной организации.
Продукт доступен в предустановленном виде на Pentium машинах,
а также как отдельный пакет для BSD/OS,SunOS4*,HP-UX,IRIX и других
UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день
является стандартом де-факто для построения МЭ на уровне приложений.
Система Gauntlet получила сертификат Национального Агентства
Компьютерной Безопасности США и была проверена Агентством Национальной
безопасности США.
Данный продукт предоставляет возможность безопасного и строго
аутентифицированного доступа по следующим протоколам:
Кроме того, МЭ имеет средство для поддержания "сырого" TCP соединения,
которое можно использовать для протоколов, не нуждающихся в авторизации
пользователя, например NNTP. В наличии имеется также возможность организовывать
"сырые" соединения для пользователей с подтверждениями полномочий.
По набору поддерживаемых протоколов этот МЭ уверенно лидирует на рынке.
В дополнение к фильтрации на уровне приложений, МЭ требует внесения
определенных изменений в базовую операционную систему. Эти изменения включают:
только посредством транслирующих серверных программ (proxy)
по несконфигурированным видам сервиса
Дополнительные возможности системы включают в себя особые фильтры, позволяющие
организовать на самом МЭ определенные информационные сервисы, такие как
Этот МЭ - единственный из существующих, позволяющий защитить
пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные
сетевые вирусы, причем независимо от платформы.
Gauntlet разработан по принципу "белого ящика", что на практике означает
его распространение вместе с исходными текстами. Кроме того, наиболее
простые и эффективные приемы написания программ значительно упрощают
анализ исходных текстов.
При изначальной разработке МЭ особое внимание уделялось следующим
принципам:
"сверху вниз". В результате был получен минимальный по объему а наиболее
эффективный по производительности программный интерфейс, легко позволяющий
реализовать proxy для протокола, не входящего в базовый комплект.
Облегчает последующие тестирование. крайне важно - такой подход сильно уменьшает
вероятность скрытых ошибок.
администратора. Неправильная директива интерпретируется как глобальное
запрещение данного сервиса. Кроме того, таким образом введено умолчание
- запрещено. Введение любого нового сервиса обязательно влечет за собой
его увязывание с политикой безопасности.
имеющий возможность только локальной работы - администратор.
информации о работе МЭ крайне полезна, не только с точки зрения безопасности, а и
с точки зрения оценки производительности и т.д.
эффективного интерфейса для работы с ней легко позволяют осуществлять
контроль пользователей, их блокировку, изменение атрибутов и т. д.
имеет текстовый формат, его логическая структура довольно очевидна
и не составляет препятствия для системного администратора.